DBSのCIDRブロックを自己管理データベースのセキュリティ設定に手動で追加する - Database Backup

データベースバックアップ (DBS) を使用して、タイプがパブリックIPアドレス <IPアドレス: ポート番号> のユーザー作成データベースを追加またはバックアップする前に、自己管理データベースのファイアウォール設定などのセキュリティ設定にDBSのCIDRブロックを手動で追加する必要があります。

使用上の注意

カテゴリ	説明
DBSのCIDRブロックをデータソースのセキュリティ設定に自動的に追加する	追加またはバックアップするデータソースが、ApsaraDB RDSインスタンス、PolarDBインスタンス、ApsaraDB for MongoDBインスタンスなどのApsaraDBインスタンス、またはElastic Compute Service (ECS) インスタンスでホストされているセルフマネージドデータベースの場合、DBSのCIDRブロックが自動的にApsaraDBインスタンスのIPアドレスホワイトリストまたはECSインスタンスのセキュリティグループに追加されます。手動設定は必要ありません。説明リソースアクセス管理 (RAM) ユーザーとしてDBSを使用する場合は、AliyunDBSFullAccessおよびAliyunOSSFullAccessポリシーがRAMユーザーにアタッチされていることを確認します。それ以外の場合、DBSは、権限が不十分なため、DBSのCIDRブロックをApsaraDBインスタンスのIPアドレスホワイトリストまたはECSインスタンスのセキュリティグループルールに追加できません。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。 ECSインスタンスのDBSのアクセス権限を取り消すと、DBSのCIDRブロックがECSインスタンスのセキュリティグループルールに自動的に追加されません。この問題を解決するには、DBSのCIDRブロックをECSインスタンスのセキュリティグループルールに手動で追加する必要があります。
DBSのCIDRブロックをデータソースのセキュリティ設定に手動で追加する	追加またはバックアップするデータソースのタイプがインターネット IP アドレス : Port の自作データベースがありますのユーザー作成データベースで、ファイアウォール設定などのセキュリティ設定が自己管理データベースに構成されている場合、DBSのCIDRブロックを自己管理データベースのセキュリティ設定に手動で追加する必要があります。
DBSのCIDRブロックをデータソースのセキュリティ設定に手動で追加する	追加またはバックアップするデータソースのタイプが専用線、VPN ゲートウェイ、インテリジェントゲートウェイを介して接続されたユーザー自作データベースの場合、データソースが接続されている仮想プライベートクラウド (VPC) の宛先としてDBSのCIDRブロックを追加する必要があります。詳細については、「Alibaba Cloud over Express Connect to OSSまたはDBSに接続されたデータセンターの自己管理データベースのバックアップ」および「VPN GatewayまたはSmart Access Gatewayを介してAlibaba Cloudに接続されたオンプレミスのデータセンターの自己管理データベースのOSSまたはDBSへのバックアップ」をご参照ください。

警告

データソースが自己管理データベースの場合、DBSサーバーからのアクセスを許可するには、DBSのパブリックCIDRブロックを自己管理データベースのセキュリティ設定に手動で追加する必要があります。ただし、パブリックアクセスが自己管理データベースに許可されている場合、セキュリティリスクが発生する可能性があります。アカウントとパスワードによる認証を強化するか、許可されているポートを制限するか、Express Connect、VPN Gateway、またはSmart access Gatewayの内部アクセス方法を使用することを推奨します。

手順

データソースを追加またはバックアップするときは、ホワイトリストを追加する方法 をクリックします。
この例では、データソースページでDBSのCIDRブロックを表示する方法を示します。他のページも同様のボタンを提供します。
表示されるメッセージで、DBSのすべてのCIDRブロックをコピーします。
メッセージに表示されるDBSのCIDRブロックは、選択したリージョンによって異なります。
DBSのCIDRブロックをデータソースのセキュリティ設定に追加します。たとえば、DBSのCIDRブロックをオンプレミスサーバーのファイアウォール設定、データソースのファイアウォール設定、またはデータソースをホストするECSインスタンスのセキュリティグループルールに追加します。
DBSのCIDRブロックがデータソースのセキュリティ設定に追加されると、DBSは指定したデータベースアカウントとパスワードを使用してデータソースにアクセスできます。
説明
セキュリティ設定は、データベースアカウントが指定されたIPアドレスからのみデータソースにアクセスできるように構成できます。たとえば、username' @ 'localhostは、ユーザー名アカウントがローカルホストからのみデータソースにアクセスできることを指定します。この場合、DBSはユーザー名アカウントを使用してデータソースに接続できません。この問題を解決するには、ユーザー名アカウントの管理者権限を変更するか、別のデータベースアカウントを指定します。
DBSのCIDRブロックをECSインスタンスのセキュリティグループルールに追加するには、次の手順を実行します。
1. ECSコンソールの [インスタンス] ページで、管理するECSインスタンスをクリックします。
2. インスタンスの詳細ページで、[セキュリティグループ] タブをクリックし、設定するセキュリティグループをクリックします。
3. [インバウンド] タブで、[クイック追加] をクリックします。
4. [クイック追加] ダイアログボックスで、コピーしたCIDRブロックを [権限付与オブジェクト] フィールドに貼り付けます。 [ポート範囲] セクションで、[すべて (1/65535)] を選択し、[OK] をクリックします。
  DBSのCIDRブロックがECSインスタンスのセキュリティグループルールに追加されます。
  説明
  デフォルトでは、セキュリティグループのアウトバウンドルールにより、ECSインスタンスはすべてのIPアドレスにアクセスできます。セキュリティグループのアウトバウンドトラフィックを無効にする場合は、DBSのCIDRブロックをセキュリティグループのアウトバウンドルールに追加する必要があります。

Database Backup:DBSのCIDRブロックを自己管理データベースのセキュリティ設定に手動で追加する

使用上の注意

手順

関連ドキュメント